top of page
    • Nov 14, 2022

MFA otporan na phishing - nova normala

Mnoge organizacije još uvek ne koriste MFA za autentifikaciju svojih korisnika, a čak i one koje ga koriste postale su ranjive na najnovije tehnike phishinga.


Počevši od 2021. i nastavljajući do 2022., Microsoft i drugi dobavljači vide sve sofisticiranije alate phishing-as-a-service koji ciljaju na naloge sa omogućenim MFA u SaaS uslugama (kao što je Microsoft365). Jednostavno rečeno, zlonamerni akteri su naučili ne samo kako da prikupe korisničko ime i lozinku, već i jednokratne kodove koje proizvodi aplikacija za autentifikaciju na svojim mobilnim telefonima.


Za organizacije kod kojih MFA ne uključuje jednokratne kodove unete u prompt za prijavu na aplikaciju, već se umesto toga oslanjaju na push obaveštenja sa mobilnog telefona, napadači su razvili takozvanu tehniku push bombinga (poznatu i kao push zamor ili prompt bombardovanje). U ovom slučaju, zlonamerni akteri bombarduju korisnika push obaveštenjima dok ne kliknu na dugme „Prihvati“, dozvoljavajući tako zlonamernom akteru pristup mreži.


Vreme je za MFA koji je otporan na phishing - ili barem za podudaranje brojeva

Postoje dva široka načina za rešavanje krađe identiteta sa MFA.


Prvo, ako koristite push obavještenja, povećajte snagu MFA podudaranjem brojeva. Ovo će rešiti problem MFA push bombardovanja, iako blago otežati lakoću korišćenja MFA. Podudaranje brojeva je podešavanje koje primorava korisnika da unese broj prikazan u push obaveštenju u svoju aplikaciju da bi odobrio zahtev za autentifikaciju. U ovom scenariju, korisnici ne mogu da odobre push zahteve bez unosa brojeva na ekranu za prijavu. Podudaranje brojeva sprečava korisnike da prihvate upit za push obaveštenje bez poznavanja brojeva. Ovo ublažavanje u suštini kombinuje jednokratne lozinke sa push obaveštenjima.

MFA number matching to discourage prompt bombing
Funkcija podudaranja MFA brojeva Microsoft Authenticator. Izvor: Microsoft

Prodavci MFA rešenja podržavaju funkcije podudaranja brojeva pod različitim nazivima brendova. Nekoliko uobičajenih primera uključuje Microsoft Number Matching, Duo Verified Push, Okta TOTP. Drugi pristup je korišćenje odgovarajućih MFA implementacija otpornih na phishing koje se oslanjaju na kriptografiju javnog ključa, što može biti:

  1. FIDO/WebAuthn autentifikacija

  2. MFA baziran na PKI

FIDO/WebAuthn autentifikacija je lakša za implementaciju i izbegava teret administriranja klasične PKI infrastrukture. FIDO Alliance izvorno je razvio protokol WebAuthn kao dio standarda FIDO2, a sada ga objavljuje World Wide Web Consortium (W3C). Podrška za WebAuthn uključena je u glavne pretraživače, operativne sisteme i pametne telefone. WebAuthn radi sa srodnim FIDO2 standardom kako bi obezbedio autentifikator otporan na phishing. WebAuthn autentifikatori mogu biti:

  • odvojeni fizički tokeni (koji se nazivaju "roaming" autentifikatori) povezani sa uređajem putem USB-a ili komunikacije bliskog polja (NFC), ili

  • ugrađeni u laptope ili mobilne uređaje kao autentifikatore "platforme" (npr. podržani od strane Windows OS Hello funkcije).

Alternativni pristup je da se omogući MFA otporan na phishing povezan sa PKI-jem preduzeća. MFA baziran na PKI obično dolazi u obliku pametnih kartica (ili USB PKI tokena) koje čuvaju privatni ključ korisnika u sigurnosnom čipu, a kartica mora biti direktno povezana s uređajem kako bi se korisnik mogao prijaviti u sistem (sa tačnim PIN-om). Iako MFA baziran na PKI-u pruža snažnu sigurnost, teško ga je administrirati i održavati, što ga čini razumnim rešenjem samo za najveće i najsloženije organizacije.

Latest news

bottom of page